В период с января по февраль 2023 года специалисты FortiGuard Labs обнаружили полезную нагрузку, направленную на эксплуатируемый Oracle Weblogic Server в определенном URI. Эта полезная нагрузка извлекает ScrubCrypt, который обфусцирует и шифрует приложения и делает их способными обходить программы безопасности. У него уже есть обновленная версия, а веб-страница продавца гарантирует, что он может обойти Windows Defender и предоставляет функции антиотладки и обхода некоторых программ.
FortiGuard проанализировали вредоносное ПО, внедренное в систему жертвы, и в рамках анализа определили действующее лицо угрозы как 8220 Gang, используя собранные индикаторы. Эта майнинговая группа впервые появилась в 2017 году. Название "8220" происходит от ее первоначального использования порта 8220 для сетевых коммуникаций.
Indicators of Compromise
IPv4
- 163.123.142.210
- 179.43.155.202
- 185.17.0.19
- 209.141.38.219
- 45.142.122.11
- 79.137.203.156
Domains
- su-95.letmaker.top
- work.letmaker.top
SHA256
- 0159c3b4fdff4ba89ff9e56bf2cdcdc8aaaa35d1fa4661288225e3701f8569b5
- 0767cfa1fb304ba5ef61d25ddc580cf82170b84e6a04c856e84c6ad3ad98dc92
- 13a11140bc0c62fbc8a364f71dfdf91a3ef321bb8c9c212b3af5eb576488a95e
- 15cc89335d137fde5c61e540cd1c77718653ed7f359b206aeb85f25e5928096a
- 179be54b3c2e29571fec9dcd16781eee3ce997c5352d9cce4834a10fc11d636b
- 20a8278b25d5c27e861dc5188f9ffd40fc45db4131245ce1020c6fa9909841d1
- 21326ecbb4cf7fef735e04f8e51efd7c861f883844e22050eab8615c7605b2f5
- 2ad4c954313fe912a64c4116bf7ec5cbd2e6e3a88979f7b7c2863ca21ffc9dd9
- 3422e84ca8e1ce5b106415d074667721772a7a8e9de3cd911665bad42145926c
- 4d3be48fd3dde635cccd87a9925749c5a166e9b52026b5277883c7f3ab50c520
- 4e46e6ca8c993761238af82e33a98aee97e80a3c8c80d418fb410e9556788d97
- 55ba36d2ee2c5359dec3a425d27df9c3fb1ddede8cef74fd0bd69d38434609fd
- 57223450820cbe9cf5779083b7d85c440bb8b529505c55579bfcc5816bf5c80a
- 84f8580343323b8534d2321c1b8789df544c4941e12d8dfa5a1fbcd201b97e72
- 922c114c3a7f69b3210624f3e267cfc330969d17c5813cd328557b1476ef1858
- 9e2ddef83a3043de6a1f655a556fe3eca522656ad5e6056dd92ad13fa354b32f
- a12c34fef1d6475d99aa9af2e8bf1fd55bca83982a0ee2a9131ffd9fd15cb2a7
- a9d0af5af4cebbcce59ad5ef823a8d0ec71147799692c03be784f9e1670467ca
- b3ceead8490dd68c344d5b009a8bf17ed7d24499a9d66dc3493033b5696f6632
- b62ea075cfc99980488bc206cba24ffcd4faccd8b1a80aec27d9d444c430095d
- d6150fd4d9616788fcb6f765ab5052669feaf90ac926ad42a59f3abf4871edb8
- d9e7d3dbb299f76bb8a84e3b72cc8e78e86ea90e2dc777cdcfd51dbd10657f47
- e6834bbc9946e79f8888d30e52ae72552c37f160a8e6ce3f56ae5a88ed190e91